(Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/VPN/SSL VPN zu IPSec-Ziel|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | IPSec Site-to-Site-Ziele mit einem SSL-VPN erreichen | Reach IPSec site-to-site targets with a SSL VPN }} {{var | head | Mit einem SSL-VPN Roadwarrior auf ein Netzwerk hinter einer IPSec Site-to-Site Verbindung zugreifen | Using an SSL VPN Roadwarrior to Access a Network Behind an IPSec Site-to-Site Connection }} {{var |…“) |
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“) |
||
Zeile 489: | Zeile 489: | ||
<i class="host utm">{{#var:Standort}} A</i> {{#var:Portfilter Regel--desc}}<br> | <i class="host utm">{{#var:Standort}} A</i> {{#var:Portfilter Regel--desc}}<br> | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 zh1" | ||
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | | {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|dr|class=mw15|icon=vpn-network}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | ||
|- | |- | ||
Zeile 502: | Zeile 502: | ||
{{#var:Anzeige Portfilter Regel}} | {{#var:Anzeige Portfilter Regel}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
Zeile 549: | Zeile 549: | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | <i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 zh1" | ||
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | | {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | ||
|- | |- | ||
Zeile 560: | Zeile 560: | ||
{{#var:Anzeige Portfilter Regel}} | {{#var:Anzeige Portfilter Regel}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
Zeile 616: | Zeile 616: | ||
<i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | <i class="host utm">{{#var:Standort}} B</i><br>{{#var:Portfilter Regel--desc}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 zh1" | ||
| {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | | {{b| {{#var:Quelle}} }} || {{ic| SSL-VPN-RW-Network|icon=vpn-network|dr|class=mw15}} || {{#var: regel--quelle--desc| Roadwarrior -Host oder -Netzwerk }} | ||
|- | |- | ||
Zeile 631: | Zeile 631: | ||
{{#var:Anzeige Portfilter Regel}} | {{#var:Anzeige Portfilter Regel}} | ||
{| class="sptable2 | {| class="sptable2 Paketfilter pd5 tr--bc__white zh1" | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || ||<nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| |
Aktuelle Version vom 29. Mai 2024, 11:46 Uhr
notempty
- Ergänzung der Regeln, die für die IPSec-Verbindung ohne implizite Regeln benötigt werden
- Layoutanpassung der Portfilterregeln
Ausgangslage
- Ein Netzwerk am Standort A ist über eine IPSec-Site-to-Site-Verbindung mit einem Netzwerk an Standort B verbunden
- Es besteht eine SSL-VPN-Verbindung von einem Roadwarrior zu dem Netzwerk an Standort B
Ziel:
- Das Interne Netzwerk an Standort A soll für den Roadwarrior über die SSL-VPN-Verbindung zu Standort B erreichbar sein.
Konfiguration:
- Standort A:
Internes Netzwerk: 192.168.218.0/24 - Standort B:
Internes Netzwerk: 192.168.219.0/24 - Roadwarrior:
SSL-VPN-Verbindung zu Standort B
Transfernetz-IP: 10.10.10.0/24
IPSec Site-to-Site Verbindung einrichten
Ein Anleitung zur Konfiguration einer IPSec-Site-to-Site Verbindung gibt es in diesem Wiki.
SSL-VPN Verbindung einrichten
Ein Anleitung zur Konfiguration einer SSL-VPN Verbindung für Roadwarrior gibt es in diesem Wiki.
Anpassen der Konfiguration
SSL-VPN-Verbindung bearbeiten
Standort B
Anpassen der SSL-VPN-Roadwarrior Verbindung unter Schaltfläche der Verwendeten Verbindung, Reiter Allgemein
Konfiguration mit Anpassung der IPSec-Verbindung
Das Transfernetz des Roadwarriors muss auf beiden UTMs in der Phase 2 der IPSec Verbindung eingetragen werden.
Konfiguration unter Schaltfläche der verwendeten Verbindung, Reiter Subnetze, Schaltfläche
Anpassen der IPSec-Verbindung
Netzwerkobjekt am Standort A anlegen
Standort A
Diese Regel ist nicht erforderlich, wenn die IPSec-Verbindung über implizite Regeln erlaubt wurde.
Davon ist jedoch im Regelfall abzuraten, da implizite Regeln die Ports, die für IPSec Verbindungen genutzt werden, allen Schnittstellen freigeben.
Netzwerkobjekt anlegen im Reiter Reiter Netzwerkobjekte Schaltfläche
Portfilter-Regel Standort A
Standort A Portfilter Regel anlegen im Reiter Portfilter Schaltfläche
Anzeige der Portfilter-Regel in der Übersicht
Netzwerkobjekt am Standort B anlegen
Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Reiter Netzwerkobjekte Schaltfläche
Portfilter-Regel Standort B
Standort B
Portfilter Regel anlegen im Reiter Reiter Portfilter Schaltfläche
Quelle | SSL-VPN-RW-Network | Netzwerkobjekt des Roadwarrior-Netzwerkes |
Ziel | IPSec Ziel | Netzwerk, auf das zugegriffen werden soll |
Dienst | xyz | Gewünschter Dienst oder Dienstgruppe |
Speichern der Regel mit der Schaltfläche
Anzeige der Portfilter-Regel in der Übersicht
Konfiguration mit HideNat-Regel
Besteht kein Zugriff auf die Konfiguration an Standort A, kann auch eine Regel mit HideNat verwendet werden. Dies ersetzt dann die Übergabe der Netz-IP des SSL-VPN-Transfernetzes in Phase 2 der IPSec-Verbindung.
Da hierbei IP-Adressen ausgetauscht werden, kann dies zu Problemen z.B. mit VoIP oder FTP führen.
Netzwerkobjekt am Standort B anlegen
Standort B
Anlegen eines Netzwerkobjektes für das Zielnetzwerk unter Reiter Netzwerkobjekte Schaltfläche
Portfilter-Regel Standort B
Standort B
Portfilter Regel anlegen im Reiter Reiter Portfilter Schaltfläche
Speichern der Regel mit der Schaltfläche
Anzeige der Portfilter-Regel in der Übersicht
# | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
7 | SSL-VPN-RW-Network | IPSec Ziel | Gewünschter Dienst oder Dienstgruppe | HN | Accept | Ein |